高危预警！Windows曝反射型Kerberos中继攻击漏洞，攻击者可直取SYSTEM权限(含POC链接)

导语

近日，安全研究人员披露了一个影响几乎所有Windows版本的高危漏洞（CVE-2025-33073），攻击者可通过精心设计的“反射型Kerberos中继攻击”，将普通用户权限提升至系统最高SYSTEM权限。微软已在6月10日的“补丁星期二”中紧急修复此漏洞。

POC链接

https://github.com/mverschu/CVE-2025-33073

漏洞概况：二十年未遇的认证协议突破

这个由德国安全团队RedTeam Pentesting在2025年1月发现的漏洞，被微软评定为CVSS 8.8分高危漏洞（部分机构甚至给出9.8分）。它巧妙绕过了自2008年MS08-068补丁以来建立的NTLM反射防护机制，复活了本应“入土为安”的反射攻击技术。

漏洞核心在于Windows SMB客户端在Kerberos认证过程中存在访问控制缺陷。当攻击者诱骗目标连接恶意SMB服务器时，服务器可滥用Kerberos子密钥管理机制，伪造特权令牌，最终获取SYSTEM权限——这是Windows环境中的最高权限级别。

攻击原理：四步获取系统最高权限

整个攻击过程犹如一场精心设计的“身份盗窃”：

1. 诱导连接：攻击者通过钓鱼邮件、恶意网站或水坑攻击，诱使用户向恶意SMB服务器发起连接
2. 强制认证：恶意服务器强制客户端使用Kerberos而非NTLM进行认证
3. 密钥劫持：利用SpInitLsaModeContext函数的缺陷，将特权会话密钥插入全局列表KerbSKeyList
4. 权限伪造：当客户端名称与机器名匹配时，生成的令牌将被提升为SYSTEM权限

令人担忧的是，攻击过程中Windows系统会对本地环回身份验证产生混淆。当高权限的SYSTEM帐户使用低权限计算机帐户凭据执行身份验证时，系统错误地继承了原始进程的SYSTEM权限，为攻击者打开了特权升级的大门。

影响范围：几乎覆盖所有现代Windows系统

受影响的系统包括：

• Windows 10（所有版本）
• Windows 11（24H2之前版本）
• Windows Server 2019-2025

安全专家Ben Hopkins指出：“威胁行为者高度寻求这种性质的漏洞。一旦攻击者获得初始立足点，他们就可以利用此漏洞获得更深层次的控制——禁用安全工具、窃取敏感数据、安装持久恶意软件或在网络中横向移动。”

攻击工具：PoC已公开，利用门槛降低

研究人员已公开概念验证工具：

• wspcoerce：用于强制目标主机进行身份验证
• pretender：用于拦截和响应名称解析查询

在GitHub和ExploitDB上，安全研究人员Mohammed Idrees Banyamer已公开了完整的漏洞利用代码（PoC）。该代码结合了DNS记录注入、NTLM中继攻击和MS-RPRN RPC强制认证技术，形成一条完整的攻击链。

防护建议：立即行动，堵住缺口

1. 紧急补丁更新

微软已在6月10日补丁星期二发布修复程序。所有受影响用户应立即通过Windows Update安装更新，或手动下载补丁。

2. 关键缓解措施（若无法立即打补丁）

• 启用SMB签名：强制服务器端SMB签名可有效阻止SMB中继攻击
• 配置身份验证扩展保护（EPA）：增强NTLM和Kerberos的安全性
• 限制WebDAV使用：企业应评估并限制非必要的WebDAV服务

3. 企业额外防护

• 实施严格的网络分段策略
• 监控异常SMB连接行为
• 开启高级威胁防护（ATP）解决方案

反思：Kerberos并非绝对安全

这一漏洞的曝光颠覆了安全界长期以来的认知——Kerberos协议并不天生免疫反射攻击。随着NTLM协议逐步淘汰，攻击者正将注意力转向Kerberos协议中潜藏的安全问题。

正如研究人员所指出的：“这一发现突显了围绕基于Kerberos的攻击不断变化的威胁态势，并强调为NTLM开发的安全措施对于Kerberos环境同样重要。”

建议所有使用Windows系统的个人和企业用户立即采取行动，在攻击者大规模利用此漏洞前加固系统安全防线。

原文始发于微信公众号（道玄网安驿站）：高危预警！Windows曝“反射型Kerberos中继攻击”漏洞，攻击者可直取SYSTEM权限(含POC链接)